802.1x gesicherte Authentifizierung
Man verwendet die in IEEE 802.1x (x = beliebiges Layer2 Protokoll) festgelegten Anmeldeprozeduren, die durch das EAP (Extensible Authentification Protocol) (Variante von PPP) unterstützt wird. Es handelt sich dabei um Verbesserungen zu Chap, weil weitere Dienste möglich werden.
Eine zentrale Stellung nimmt bei 802.1x der Radius Server (Remote Access Dial IN User Service) ein. Dieser Server übernimmt eine zentrale Funktion beim Anmeldevorgang und ermöglicht die Realisierung der AAA-Sicherheitsarchitektur.
Das bedeutet:
- Authentifizierung = durch Anmeldenamen/Passwort(PAP) oder Chap-Verfahren, kann je nach Bedarf auch ein sicherer Datentunnel ermöglicht werden. Wer ist der User?
- Autorizierung = mit der Anmeldung werden gleichzeitig Zugangsrechte vergeben. Was darf der User?
- Accounting = Registrierung und evt. Abrechnung der in Anspruch genommenen Ressourcen. (Nutzzeiten, Datenmenge, usw.) Welche Ressourcen hat der User benutzt?
Bei der Realisierung dieser Dienste kann der Radiusserver bei Bedarf auf Datenbankserver zugreifen.
Ablauf von 802.1x
Erste Phase
Anmeldung am AP/Vereinbarung des Anmeldeverfahrens zwischen Stationen und Radius-Server
- Der AP strahlt in seinem Beacon ein Liste von Informationen aus, die dem Client u.a. mitteilt, welche Authentifizierungsverfahren ausgewählt werden können.
- Wenn der Client den Anforderungen entsprechen kann, meldet er sich am AP an. Von nun an kann er senden und empfangen. Dabei erfolgt diese Anmeldung nach dem Open-Authentifikation-Verfahren, also ohne WEP. Der Zugriffsschutz ist nicht notwendig, da eine Verbindung nur bis zum AP möglich ist. Eine sichere Authentifizierung erfolgt erst später.
- Nach der Open-Athentifizierungphase erfolgt die Phase, in der der AP und der Client das geforderte 802.1x Anmeldeverfahren aushandeln, um die eigentliche Anmeldung am Radius-Server zu ermöglichen.
Hier wird die Verwandschaft mit dem PPP-Protokol deutlich, das ebenfalls zuerst Modalitäten zwischen den zwei Partnern (z.B. Router) auf Layer2 (z.B. ADSL) aushandelt.
Zweite Phase
Authentifizierung zwischen Station und Radius-Server
- Die Authentifizierung erfolgt über folgende physikalische Strecke.
- Über die bestehende Verbindung durch den AP versichern sich Client und Radius-Server nun ihrer gegenseitigen Authentizität. Der Server überprüft die Zugansberechtigung des Clients am Netz, der Client überprüft, ob er wirklich im richtigen Netz ist.
802.1x legt das Authetifizierungverfahren nicht fest. Ein gängiges Verfahren ist TLS (bekannt von Https).
Dritte Phase
Bilden des Master-Keys und Session-Keys
- Radius Server erzeugt den Master-KEy
- Haben Station und Radius-Server nach TLS/SSL die Authentifizierung durchgeführt, so besteht durch das Public-Key Verfahren ein gesicherter Tunnel, über den der Master-Key an die Station gesendet werden kann. Dieser gesicherte Tunnel wird nach Übertragung des Master-Keys beendet.
- Der Radius-Server teilt jetzt dem AP den Master-Key mit.
- Station und AP tauschen nun Zufallszahlen aus, um daraus den Sitzungsschlüssel zu bilden.
Session Key = Hash aus Master-Key /Zufallszahl1/Zufallszahl2
Das ist der eigentliche Sitzungsschlüssel, also ein WEP-Schlüssel, der nur für Datenpakete zwischen dem AP und genau diesem Client benutzt wird. Ausserdem sendet der AP einen sogenannten Gruppenschlüssel, den der AP für Broad-/Multicasts einsetzt.
Vierte Phase
Datenübertragung oder RE-Keying
Nun kann gesicherte Datenkommunikation erfolgen. AP und Client können nun über den EAP-Tunnel die WEP-Schlüssel regelmässig wechseln und ein sogenantes Re-KEying durchführen. Gängige Nutzungszeit für den Sessionkey sind fünf Minuten.
Alternativen
PSK Pre-Shared-Key wurde vorher per Brief o.Ä. verteilt.